【React】 打包扫描出现高风险文件 YUI 版本太低 JSEncrypt

最新推荐文章于 2025-04-02 14:39:00 发布
原创 最新推荐文章于 2025-04-02 14:39:00 发布
· 1.6k 阅读 · 5 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#react.js #前端 #前端框架

漏洞定位

扫出漏洞的情况,多是在说下面几个工具:

  1. jquery

  2. js-cookie

  3. jsencrypt

参考链接

YUI:2.9.0 (Link) http://www.cvedetails.com/cve/CVE-2012-5883/

1.于是在打包后的代码中搜索 YUI(不区分大小写,不进行全字匹配),果然搜到了一段注释:

2.认了这个事情,接下来就容易多了。这明显不是我的代码,那就在 node_modules 中继续搜索,最终在 jsencrypt 下查到了这段注释:

3.用 npm 安装到项目得jsencrypt是没有压缩的࿰

最低0.47元/天 解锁文章
凉生阿新
关注
react项目打包和优化
qq_58956810的博客
07-08 2548
这个js属性在cdn的对象下,所以应该排查一下cdn是否存在的问题,或者说在往上找,排查options对象当中是否存在cdn属性,有些地方写的是userOptions.files,可能是因为htmlWebpackPlugin对象下面是userOptions这个选项,而不是options这个选项,所以会有差异,而我这个地方打印了math对象下面出现的结果就是options选项,(打印的结果是在执行。看一下数据结构的内容,感觉对我处理后端返回的数据并且提交到页面当中很有效,或者是在处理提交数据的时候。
react——利用jszip实现文件批量下载并打包成zip文件
ass_ace
06-15 4185
本文章主要记录利用jszip实现文件批量下载图片,文档。mp3,视频(MP4)等文件,一般而言前端实现下载功能一般都是通过a链,这在下载单个文件的场景很实用,但如果是批量下载很多个文件,同样也可以用a链接实现但是 ...
GITHUB上的一些DevSecOps
qq_44005305的博客
01-31 345
最近一直在完善自己的扫描器和攻击链,所以也一直在GITHUB上看自动化的一些知识,脑壳痛看起来比较优秀的如下,本人只推荐哈DefectDojoDefectDojo 是一个安全编排和平台。DefectDojo 允许您管理您的应用程序安全程序,维护 产品和应用信息、分类漏洞和 将结果推送到 JIRA 和 Slack 等系统。DefectDojo 丰富并 使用许多启发式算法来优化漏洞数据,这些算法 随着您使用该平台的次数越多越好。github;搭建好的运行截图如下。
yui2.9
03-28
NULL 博文链接:https://lsqwzz.iteye.com/blog/1228250
Vue中JSEncrypt 数据加密和解密处理
最新发布
神奇侠MAKER
04-02 613
RSA 加密需要一对密钥:公钥和私钥。公钥用于加密数据,私钥用于解密数据。通常,密钥对由后端生成,然后将公钥提供给前端。在 Vue.js 项目中集成 JSEncrypt 实现数据的加密和解密是一种常见的需求,尤其是在处理敏感信息(如密码、用户数据等)。4、编写encrypt.js
Vue 项目安全扫描漏洞,JS版本太低,要求升级 YUI,过程总结
皮蛋很白的博客
04-07 1万+
检测到目标站点存在javascript框架库漏洞 - YUI2版本引发的安全漏洞解决方案
Vue打包扫描提示存在中危风险过期的YUI版本
小白变怪兽
10-16 1137
YUI版本太低,存在漏洞问题
React 项目打包文件体积过大,网页加载速度慢的问题。(gzip的使用)
热门推荐
Wu_shuxuan的博客
03-21 1万+
react项目中利用dva脚手架,roadhog打包工具打包后只生成了一个index.css 和 index.js 。所有的 js文件打包在了一个 index.js 文件中,所以这个文件有1.1M。部署到服务器上,首次访问首页加载的会特别慢,这样会流失很多的用户。 解决办法: gzip 压缩。 GZIP编码是一种用来改进WEB应用程序性能的技术。大流量的WEB站点常常使用GZIP压缩技术来...
React项目打包 优化详解
weixin_58207509的博客
11-21 2721
项目打包和优化-项目打包 目标:能够通过命令对项目进行打包 步骤: 在项目根目录打开终端,输入打包命令:npm run build 等待打包完成,打包后的内容被放在项目根下的 build 文件夹中 项目打包和优化-项目本地预览 目标:能够在本地预览打包后的项目 步骤: 全局安装本地服务包:npm i -g serve,该包提供了 serve 命令,用来启动本地服务 在项目根目录中执行命令:serve -s ./build,在 build 目录中开启服务器
yui_2.9.0前端UI
01-08
YUI 库,全称Yahoo! UI Library。是一组工具和控件,用JavaScript写成, 为的是用DOM 脚本,DHTML和AJAX等技术创建丰富的网页交互式应用程序。 YUI 基于BSD协议,对所有的使用方式都是免费的。YUI 项目包括YUI 库和两个创建时工具: YUI Compressor (压缩) 和 YUI Doc (JavaScripts代码的文档引擎)。
jsencrypt.min.js
01-04
前端需要用到的RSA数据加密工具包
react-一个简易的React组件库
08-14
一个简易的React组件库,包含日期、日历、关联选择、树形列表、下拉选框、多级联动、提示等等
yui_2.9.0用于javascript基础教程
04-11
适合图灵程序设计丛书web开发系列-javascript基础教程的学习使用
jsencrypt-master.zip,jsencrypt.js,js使用RSA加密
07-23
js加密工具 RSA加密工具,jsencrypt.js , ,jsencrypt.min.js
Vue打包扫描存在中危风险过期的YUI版本
weixin_43834227的博客
03-11 7203
Vue打包扫描存在中危风险过期的YUI版本 我司安全部门反馈一个问题: " 1个中危风险 过期的YUI版本 当前版本2.9.0 包含1个中危漏洞 风险位置 com/static/js/chunk-libs.62eeccfc.js" 搜索整个项目并没有发现使用到YUI ,最终在某个博客发现了原因,感谢博主!博客链接 项目中使用了rsa加密jsencrypt,用npm 安装到项目的jsencrypt是没有压缩的,里面包含YUI打包之后会出现这种文件。 所以这个时候引用jsencrypt.min.js压缩包
检测到目标站点存在javascript框架库漏洞 (随手记录)
张小胖
10-12 1万+
问题总结: js-cookie 系列解决问题 vue项目里面引用了js-cookie用来存放登录的一些信息了。删除js-cookie重新打包就可以了。至于页面上的数据,那就存放在localstroge就行。 具体用法: var storage=localStorage; // 存放数据 storage.setItem("key",value); // 根据key获取数据 storage.getItem("key"); // 根据key删除数据 storage.removeItem("ke.
SpringBoot+React(JSEncrypt) 实现密码加密传输
qq_44025685的博客
02-23 1914
SpringBoot+React(JSEncrypt) 实现密码加密传输 本文参考:RSA加密与解密 1.RSA非对称加密步骤 1)服务器端生成公私钥用于加密与解密 2)前端向服务器端询问公钥 3)前端利用服务器端给的公钥对用户的密码加密 4)前端将加密后的密码传送给服务器端,服务器端利用私钥解密,得到用户的密码。 2.前后端定义接口 2.1获取公钥 url:/login/get/pubkey request params: 无 response: String(public key) 2.2验证用户信
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值